Der Chaos Computer Club und das Open-WRT-Projekt haben die vom BSI veröffentlichten Richtlinien zur Routersicherheit scharf kritisiert. Das BSI reagierte mit einer Stellungnahme.

Vertreter von Chaos Computer Club und dem Open-WRT-Projekt hatten in den “Kommentarrunden und Sitzungen” teilgenommen, in denen es darum ging, Richtlinien für mehr Routersicherheit zu entwerfen. Grund seien die massenhaften Angriffe auf WLAN-Router in der letzten Zeit gewesen. Das Ergebnis der Zusammenarbeit war aber offenbar ernüchternd.

“Anstatt – wie versprochen – Verbraucher zu schützen und Transparenz in Bezug auf die IT-Sicherheit festzuschreiben, diktierten von Herstellern und Netzbetreibern entsandte Anwälte und Lobbyisten dem BSI wesentliche Punkte der Richtlinie in die Feder.”, schrieben der Hackerverein und das Projekt für freie Firmware auf ihrer Webseite. Lobbygruppen, “insbesondere der Verband Deutscher Kabelnetzbetreiber Anga”, hätten versucht, die Richtlinien zu “sabotieren”.

Die Technische Richtlinie “Secure Broadband Router” (BSI TR-03148) würde aber Lücken wie “Heartbleed”, “Sambacry” und “BCMUPnP” nicht verhindern. CCC und Open-WRT-Projekt heben dabei besonders zwei minimale Forderungen hervor, die nicht in die neuen Richtlinien eingegangen seien. Das BSI hat nun in einer Stellungnahme auf diese beiden Punkte reagiert.

Transparenz über Updates

Die erste Forderung lautete, dass die Hersteller von Routern ein transparentes “Mindesthaltbarkeitsdatum” angeben. Das würde darüber aufklären, wie lange die Hersteller die Software der Geräte zu pflegen gedenken. Dadurch weiß der Verbraucher, wie lange sein Router Sicherheitsupdates erhält und ob er in zwei Jahren ein neues Gerät kaufen muss.

Laut BSI bringen aber festgelegte Supportzeiten nicht automatisch mehr Sicherheit. Die Richtlinien erlaube es den Herstellern, “dynamisch” selbst zu wählen, wie lange sie die Geräte mit Sicherheitsupdates versorgen wollen.

Tatsächlich steht in der Richtlinie: “The manufacturer of the router MUST provide information on how long firmware updates fixing common vulnerabilities and exposures that have a high severity […] will be made available. This information SHOULD be available on the manufacturer website. Additionally it MAY be made available on the router configuration interface described in Section 4.1.2.” Die Anbieter müssen also Informationen dazu liefern, wie lange sie kritische Lücken fixen. Allerdings müssen diesen Informationen nicht auf der Webseite angegeben werden, wenn gute Gründe dafür vorliegen (das bedeutet “SHOULD” laut RFC 2119) und nur optional im Routerinterface erscheinen (das bedeutet “MAY”).

Die Routerhersteller trifft hier also keine Bringschuld, sie müssen im Zweifel erst auf Anfrage damit herausrücken, wie lange sie ihre Software gegen kritische Sicherheitslücken absichern. Dem widerspricht aber ein andere Passage. Laut der dürfen Anbieter offenbar auch erst nach dem Verkauf der Geräte entscheiden, wie lange sie diese mit Firmware-Updates (und dazu gehören auch Updates für kritische Lücken) supporten wollen: “As soon as a decision is made by the manufacturer to not support (release firmware updates) for the router anymore the same mechanism MUST be used by the manufacturer to inform the end-user about the End of Service (EoS) of the router.”

Garantie zu Alternativen

Auch eine Garantie, nach Ablauf der Laufzeit eine alternative Firmware auf den Router spielen zu können, hatten CCC und Open-WRT-Projekt gefordert. Sie kritisieren, dass die Richtlinie diese Freiheit nicht gewährt.

Das BSI kontert richtig, dass alternative Firmware keinen pauschalen Sicherheitsgewinn verspreche. Die Richtlinie gebe immerhin einen geregelten Pfad vor, diese zu installieren. Weil der Anwender auf diese Weise aber auch unsichere Software installieren könne, werde eben ein Sicherheitshinweis angezeigt. Und alternative Firmware lässt sich zudem verifizierbar verwenden, wenn der Hersteller diese anbiete.

Konkret steht in der Richtlinie: “The router MUST NOT automatically install any unsigned firmware. The router MAY allow the installation of unsigned firmware (i.e. custom firmware) IF a meaningful warning message has been shown to the authenticated end-user and the end-user accepts the installation of the unsigned firmware.” Das heißt klar, dass es keine Garantie dafür gibt, dass der Router-Hersteller das Aufspielen alternativer Firmware erlaubt. Und wenn er dies tut, muss er eine Warnmeldung anzeigen, wenn er diese Firmware nicht selbst signiert hat.

Fazit

Am Ende haben beide Seiten recht. Das BSI hat im Wesentlichen bereits genutzte Best Practices für Router genommen und in eine Richtlinie gegossen. Nur die Hersteller billigster Plastikrouter müssen nachbessern, diese Geräte werden damit potenziell sicherer. Für das BSI ist der Fall damit erledigt.

Doch das ist nur die halbe Miete. Endet die Supportzeit für die Geräte, hängen sie weiter am Netz, ohne Sicherheitsupdates zu erhalten. Ob die Informationen über das Support-Ende den Verbraucher erreichen, ist ungewiss.

Kassiert der Hersteller das nicht mehr unterstützte Gerät automatisch ein, indem er ein neues schickt, kann er zwar die Sicherheit weiterhin gewährleisten. Aber mit dem Gerät wandert eine prinzipiell funktionierende Hardware auf den Müll.

Verbrauchern, die das nicht möchten, hilft die neue Richtlinie wenig. Wer Glück hat und sich auskennt, findet im Netz eine alternative Firmware, um das Gerät weiterhin zu betreiben. Doch Garantien dafür gibt es nicht und diese Firmware zu installieren, bleibt für Durchschnittsnutzer ohnehin zu kompliziert.